7 PRINCIPII STRATEGICE DE SECURITATE CIBERNETICĂ 
PENTRU MANAGEMENTUL ORGANIZAȚIEI 


TLP:CLEAR 


CUVÂNT ÎNAINTE 


INTRODUCERE 


SECURITATEA CIBERNETICĂ NU ESTE DOAR 
C U D ri N S RESPONSABILITATEA DEPARTAMENTULUI IT 
IMPLICAREA MANAGEMENTULUI ÎN IDENTIFICAREA ȘI 


EVALUAREA RISCURILOR CIBERNETICE LA NIVELUL 
ORGANIZAȚIEI 


IMPLICAREA ACTIVĂ A MANAGEMENTULUI ÎN TRATAREA ȘI 


MONITORIZAREA RISCURILOR CIBERNETICE 

SECURITATEA CIBERNETICĂ PREVINE PIERDERILE FINANCIARE 
SEMNIFICATIVE 

CONDUCEREA ORGANIZAȚIILOR ARE DATORIA DE A PROMOVA 
SPECIALIZAREA ANGAJAȚILOR 


MANAGEMENTUL ORGANIZAȚIILOR TREBUIE SĂ ASIGURE 
CONFORMITATEA CU CERINȚELE LEGALE 


CONTINUITATEA ACTIVITĂȚII, MANAGEMENTUL CRIZELOR SI 
REZILIENȚA CIBERNETICA 


IMPACTUL ȘI CONSECINȚELE IGNORĂRII PRINCIPIILOR 


CONCLUZIE 


Cuvânt înainte 


Navigând prin peisajul digital vast și în continuă expansiune, unde tehnolosiile evoluează cu o viteză 
ameţitoare și o mare parte din viaţa noastră se petrece online, ne confruntăm cu o provocare constantă: 
securitatea cibernetică. Într-o eră a titlurilor clickbait și a dezinformarii pe rețelele sociale, este mai 
ușor ca niciodată să cădem pradă amenințărilor online. 


Scutul invizibil care ne protejează identitatea digitală, informaţiile personale și chiar bunăstarea 
financiară nu mai este doar responsabilitatea departamentului IT. Securitatea cibernetică a devenit o 
misiune care ne unește pe toți, de la noii angajaţi la conducerea de top, indiferent de sectorul public 
sau privat în care activăm. 


Vă recomand cu entuziasm acest ghid, care subliniază importanța implicării active a conducerii în 
identificarea și evaluarea riscurilor cibernetice, asumându-și responsabilitatea la cel mai înalt nivel al 
organizaţiei. Este esenţial ca fiecare lider să își înțeleagă rolul și responsabilitățile în domeniul 
securităţii cibernetice, care nu este doar o linie de apărare, ci și un avantaj competitiv major ce previne 
pierderile financiare semnificative. 


Ca lideri, avem o responsabilitate majoră în a cultiva o cultură organizațională sănătoasă, unde 
securitatea informaţiei este protejată, promovată și valorizată. Atragerea și reținerea specialiștilor în 
domeniu este esenţială. Conducerea, împreună cu angajaţii, trebuie să asigure respectarea cerințelor 
legale și să menţină continuitatea activităţii, chiar și în fața amenințărilor cibernetice. 


Acest ghid prezintă șapte principii de securitate cibernetică, care sunt elemente fundamentale ale unei 
strategii robuste, durabile și adaptabile nevoilor organizaționale. 


De peste 27 de ani, am promovat principii de bază ale securităţii cibernetice și am implementat măsuri 
de securitate menite să consolideze mediile digitale interoperabile ale administraţiilor publice. Vă 
recomand să parcurgeți cu atenţie acest ghid și să integrați principiile sale în practicile zilnice ale 
companiei dumneavoastră. Recomandaţi-l mai departe prietenilor și partenerilor de afaceri. Împreună, 
vom construi structuri și medii de afaceri rezistente la amenințările actuale. 


Liliana Mușeţan 
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Introducere 


Într-o lume interconectată, unde dependenţa de tehnologie și date digitale crește constant, securitatea 
cibernetică devine esenţială pentru strategia oricărei organizaţii. Transformarea digitală aduce 
oportunități semnificative de creștere și eficiență, dar expune organizaţiile la riscuri cibernetice variate 
și complexe. Astfel, managementul trebuie să adopte o viziune proactivă și integrată asupra securităţii 
cibernetice, integrând-o în cultura și strategia de business. 


Rapoartele recente ale companiilor PwC" și Deloitte? indică o creștere alarmantă a incidentelor de 
securitate cibernetică și a impactului devastator al acestora asupra organizaţiilor de toate dimensiunile. 
Această realitate subliniază necesitatea unei schimbări fundamentale în abordarea securității 
cibernetice, transformând-o dintr-o problemă tehnică într-o prioritate strategică de business. 


Pentru a îmbunătăți securitatea cibernetică a organizației, acest ghid oferă resurse valoroase, 
metodologii de referință și instrumente practice, precum și întrebări esențiale pentru evaluarea stării 
actuale de securitate cibernetică. Este crucial să se găsească un echilibru între aspiraţiile de creștere 
și necesitatea de a menţine organizația protejată împotriva amenințărilor cibernetice. 


Situaţia globală și cea a întreprinderilor mici și mijlocii (IMM-uri) evidențiază o creștere a sofisticării și 
intensității atacurilor cibernetice, vizând organizaţii de toate dimensiunile. Aceasta accentuează 
necesitatea de a echilibra creșterea cu măsuri eficiente de securitate cibernetică pentru a asigura 
prosperitatea și sustenabilitatea pe termen lung. 


Acest ghid este un punct de plecare esenţial pentru managementul organizaţiilor, care trebuie să își 
asume un rol activ în gestionarea securității cibernetice. Prin adoptarea practicilor prezentate, 
managementul poate transforma securitatea cibernetică într-o oportunitate strategică, consolidând 
astfel reziliența și competitivitatea organizației în era digitală. 


Securitatea cibernetică trebuie să fie integrată în strategia de dezvoltare a fiecărei organizații. 
Transformarea digitală deschide porţile către eficiență și inovaţie, dar expune organizaţiile la riscuri 
cibernetice diverse, care necesită o gestionare atentă și proactivă. Acest ghid oferă instrumentele 
necesare pentru a naviga acest peisaj complex și pentru a transforma securitatea cibernetică într-un 
avantaj competitiv. 


Cele șapte principii de securitate cibernetică descrise în acest material detaliază responsabilitățile 
fiecărui nivel din organizaţie și oferă resurse valoroase, metodologii de referință și unelte practice 
pentru implementare. De asemenea, sunt incluse întrebări fundamentale pentru evaluarea stadiului 
actual de securitate cibernetică și formularea unei strategii eficiente de prevenire și răspuns la 
incidente. 


C-Suite |Deloitte 
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peisajul complex al amenințărilor 
cibernetice. 


1.Securitatea cibernetică nu este doar responsabilitatea departamentului IT 


Securitatea cibernetică, în calitate de componentă esențială a infrastructurii oricărei organizații 
moderne, nu se mai limitează doar la responsabilitățile departamentului IT. 


Astăzi, securitatea cibernetică este o componentă esenţială în strategiile de business, arhitectura 
sistemelor, dezvoltarea de produse și servicii, și chiar în elaborarea politicilor publice. Aceasta necesită 
o abordare multidisciplinară și colaborarea strânsă a tuturor departamentelor unei organizaţii, de la 
resurse umane până la marketing și managementul de top. Sensibilizarea și formarea tuturor angajaților 
cu privire la practicile de securitate cibernetică sunt esenţiale pentru a construi o cultură 
organizațională robustă și a proteja activele și datele companiei. 


Fiecare angajat, indiferent de poziția sau departamentul său, trebuie să fie conștient de importanța 
protejării resurselor digitale și să acţioneze corespunzător. Departamentul IT joacă un rol central în 
implementarea tehnică și monitorizarea sistemelor de securitate, dar siguranța informaţională este un 
obiectiv care trebuie împărtășit de întreaga organizație. 


Liderii companiilor au responsabilitatea de a promova cunoștințe despre securitatea cibernetică printr- 
o comunicare eficientă și programe de formare continuă. Aceste inițiative ajută angajații să identifice 
și să răspundă adecvat la amenințările cibernetice. Simulările de incidente de securitate sunt, de 
asemenea, esenţiale pentru a testa și a îmbunătăți constant răspunsurile la incidente. 


Reglementările actuale obligă implicarea managementului organizației, managerilor de departament, 
managerilor de proiect și a tuturor angajaților alături de departamentul IT în procesul de asigurare a 
securității cibernetice al organizației. 


Securitatea cibernetică se va impune ca un pilon fundamental în adoptarea și integrarea tehnolosiilor 
emergente, cum ar fi inteligenţa artificială, blockchain, calculul cuantic și metavers. În acest context, 
este esențial ca managementul să plaseze securitatea cibernetică în centrul strategiilor decizionale, 
reflectând astfel importanța și complexitatea crescută a acestui domeniu în ultimul deceniu. 
Organizațiile trebuie să inițieze și să dezvolte departamente specializate care să se ocupe exclusiv de 
securitatea specifică fiecărei noi tehnologii. Aceasta nu doar că va proteja resursele valoroase și va 
minimiza riscurile, dar va și asigura o tranziție sigură și eficientă către noile paradigme digitale. Astfel, 
securitatea cibernetică trebuie să devină o prioritate strategică imediată, integrată în toate nivelurile 
de planificare și executare la nivel corporativ. 
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. Care este impactul unui incident 


CUM POATE FI RESPECTAT? 


Formare Continuă: Organizarea de sesiuni de formare 
periodice pentru a educa angajații despre noile 
ameninţări cibernetice și practici de prevenire. 


Politici de Securitate: Crearea și implementarea unor 
politici de securitate cibernetică cunoscute și 
respectate de întregul personal, nu doar de echipa IT. 


Sistem de Raportare: Implementarea unui sistem 
deschis pentru raportarea incidentelor și 
vulnerabilităților de securitate, fără teama de 
represalii. 


Evaluări de Sec aluărilor de risc 
cibernetic în 


aliniere la str 


Departament 
departament 
implementarea 
securitate ciber 


„ Cine sunt ataca 


. Unde sunt vulnerat 


meu? 


netic asupra 
business-ului? Unde este cel mai mare impact? 


„ Ce apăr? Cum apăr businessul în caz de atac 


cibernetic? 


. Cu cine fac Planul de apărare? 
. Cum verific implementarea și evaluarea Planului? 


. Care este busetul optim pentru realizare, 


implementare și monitorizarea Planului de apărare? 


.. Cum informez / pregătesc angajaţii, partenerii și 


clienţii pentru respectarea Planului de cyber security? 


2.Implicarea managementului în identificarea și evaluarea riscurilor 
cibernetice la nivelul organizaţiei 


Reducerea potențialelor riscuri asociate securității cibernetice se realizează prin adoptarea de măsuri 
de verificare și control la toate nivelurile structurale ale unei organizații. Pentru o organizație, din 
punct de vedere managerial și operațional, asigurarea unui mediu securizat prin utilizarea sistemelor 
informatice reprezintă cerințe obligatorii, devenind practic o preocupare intensă și continuă în raport 
cu riscurile și amenințările posibile. Implicarea activă a managementului poate asigura o mai bună 
înțelegere a riscurilor cibernetice, o mai mare responsabilitate în implementarea măsurilor de 
securitate și o mai bună pregătire în fața potenţialelor incidente de securitate. 


În domeniul securității cibernetice, capacitatea decizională și de asumare a răspunderii de către 
conducerea unei companii este esențială și necesită dezvoltarea unor abilități manageriale cum ar fi 
capacitatea de comunicare, organizare, control și coordonare. 


Obiectivele securității cibernetice au devenit din ce în ce mai complexe, având ca principal scop 
protecția datelor și a informaţiilor ca resurse critice ale companiei. Valoarea datelor și a informaţiilor 
necesită administrarea riscurilor asociate, raportarea și evaluarea corespunzătoare, de la nivelul 
managerial până la cel de execuţie, printr-o politică strâns corelată cu strategia și procesele de lucru, 
prin promovarea celor mai bune practici din domeniu. 


Minimizarea riscurilor (politici, proceduri, regulamente) 


Fundamentul asigurării securității informaţiei constă în dezvoltarea unor planuri, norme, politici de 
protecţie și acțiune în cazul unor acțiuni care au ca scop compromiterea informaţiilor și datelor. 
Asigurarea și dezvoltarea unui cadru general de concepere și aplicare a unor planuri, politici de 
securitate, modalități de evaluare și răspuns la incidente, monitorizare activă și/sau pasivă a sistemelor. 


1. Evaluare: activități manageriale (politici de securitate, proceduri, reglementări, experiență post- 
incident) și acţiuni tehnice de inventariere a componentelor sistemului; 

2. Protecţie: dezvoltare și implementare a unor măsuri de prevenire și protecție pe baza estimărilor 
realizate în etapa de evaluare; 

3. Detecţie: identificarea incidentelor (intruziunilor), cu rol de a oferi suficient timp pentru a opri 
compromiterea (activități de colectare, monitorizare și audit); 

4. Răspuns la atacuri: adoptarea măsurilor pentru restaurarea funcționalităţii și alegerea remediilor 
legale (validare, izolare sau eradicare incident, refacere sau investigații post-incident). 


Sistemul de Management al Securității 


Pentru a asigura protecția informaţiilor, organizaţiile trebuie să implementeze reguli și controale pentru 
date și informaţii, cât și pentru sistemele care stochează și procesează informaţiile. Acest lucru se 
realizează prin dezvoltarea și aplicarea unor politici de securitate, standarde, norme și proceduri 
precum Planul de securitate (document care descrie modul în care organizația abordează și tratează 
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. POLITICI 
. STANDARDE - cerințe specifice obligatorii 
. GHIDURI DE APLICARE - recomandări, bune practici 


. PROCEDURI - instrucțiuni pas cu pas 


incidentele de securitate) și Politica de securitate (asigurarea protecției datelor și dezvoltarea unui 
mediu sigur de utilizare, care trebuie să se adapteze la obiectivele strategice și operaționale). 


Procesul de management al riscurilor cibernetice 


În contextul creșterii dependenţei proceselor organizaționale de tehnologia informaţiei, managementul 
riscurilor devine critic. Riscul, definit ca probabilitatea și impactul evenimentelor, se evaluează folosind 
instrumente precum matricea de evaluare a riscurilor. 


Procesul include evaluarea riscurilor, coordonarea decizională, implementarea controalelor și măsurarea 
eficacității acestora. Metodologiile de evaluare, precum ISO/IEC IS 13335-2, ISO/IEC IS 27005, 
MEHARI și NIST SP 800-30 orientează gestionarea riscurilor, oferind recomandări pentru tratarea și 
monitorizarea acestora. Analizele cantitative, calitative și cost-beneficiu sunt integrate în acest proces 
complex pentru a asigura o gestionare eficientă a riscurilor cibernetice. 


Cybersecurity as a Service 


Integrarea principiilor de securitate cibernetică este crucială în dezvoltarea și achiziția de tehnolosie. 
Este esențial să asiguraţi lanțul de aprovizionare și să implementaţi politici eficiente de gestionare a 
riscurilor. Achizițiile trebuie să respecte principiile de securitate prin design, selectând furnizori care 
oferă soluţii sigure și conforme. 


Comportamentul și comunicarea la nivelul departamentelor din cadrul companiei (intern) 


Promovaţi o cultură de securitate cibernetică printr-o comunicare onestă și transparentă în cadrul 
companiei. Încurajaţi colaborarea și feedbackul constructiv pentru a învăţa și a îmbunătăţi practicile 
de securitate. Utilizați instrumente adecvate pentru colectarea incidentelor și comunicarea eficientă 
între departamente, consolidând astfel securitatea organizațională. Incurajaţi educaţia în locul 
disciplinării/ mustrării în cazul unor greșeli făcute de angajaţi, pentru a încuraja reportarea imediată a 
incidentelor; punerea accentului pe mustrare poate duce la frica angajatului de a reporta, ceea se va 
dovedi contraproductiv pe termen lung. 


Cooperare și colaborare cu autoritățile competente în domeniu la nivel naţional (extern) 


+ Raportează incidentele la autoritățile naționale competente! Cum se raportează? Sunând la 
numărul unic de urgență pentru atacuri cibernetice 1911 sau trimițând un e-mail la 
alertsednsc.ro. 


e Încurajați implicarea în programe specializate de prevenire a incidentelor (Bug Bounty, 
Coordinated Vulnerability Disclosure etc). 


| e Este necesar ca organizaţia să aibă Implementat un plan de comunicare (ghiduri, proceduri) 
pentru colaborarea cu autoritățile cu atribuţii in domeniu. 
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CUM POATE FI RESPECTAT? 


Încurajarea colaborării între departamente, resursele 
tehnice, lanțul de aprovizionare și clienţi pentru 
alinierea măsurilor de securitate cu obiectivele de 
business și strategiile de gestionare a riscurilor. 


Susținerea evaluărilor și a auditului periodic privind 
riscul organizațional pentru a identifica 
vulnerabilitățile din punct de vedere al securității 
cibernetice. 


Colaborarea cu e» 
în securitate cibe 
independente ad: 


i entități externe, specializate 
i și îndrumări 


Creșterea grac tacticilor de 
inginerie socia 


încurajează rapo 


Încurajarea în de apărare 


cibernetică p 


or costuri 
e cauzate de 


Adoptarea de 
trebuie echilibra: 
exploatarea vulni 


. Care este rolu tu area și 


gestionarea risc organizației? 


. Există definite măsuri de control care implică politici, 


procese, proceduri care sunt implementate, 
monitorizate, revizuite și îmbunătăţite? 


„ Există la nivelul organizației definit un Sistem de 


Management al Securităţii (ISMS)? 


. Există la nivelul companiei definit un cadru 


organizațional privind managementul riscurilor 
cibernetice? 


„ Există la nivelul companiei cunoștințe privind metode 


si tehnici de identificarea și evaluarea riscurilor? 


„ Există la nivelul companiei o abordare metodologică 


privind managementul riscurilor cibernetice? 


3.Implicarea activă a managementului în tratarea și monitorizarea riscurilor 
cibernetice 


Implicarea managementului în procesul de tratare și monitorizare a riscurilor cibernetice este un pas 
esenţial pentru asigurarea securității informaţionale a unei organizaţii. Managementul trebuie să fie 
profund conștient de riscurile cibernetice actuale și potenţiale, să prioritizeze și să aloce resurse 
adecvate pentru prevenirea și combaterea acestora. 


Tratarea riscurilor este un proces fundamental în gestionarea riscurilor, fie ele legate de securitatea 
cibernetică sau de alte domenii. Există patru strategii principale de tratare a riscurilor: acceptarea, 
diminuarea, evitarea și transferul riscului. 


+ Acceptarea riscului - Această strategie implică recunoașterea și acceptarea faptului că riscul există 
și că poate avea consecințe negative. Organizațiile decid să accepte riscul atunci când costurile 
implementării unor măsuri de gestionare a riscurilor sunt mai mari decât beneficiile obținute. Este 
important de menţionat că acceptarea riscului nu înseamnă ignorarea acestuia, ci este o alegere 
conștientă bazată pe o evaluare a costurilor și beneficiilor. 


e Diminuarea riscului - Această strategie implică adoptarea de măsuri pentru a reduce probabilitatea 
sau impactul riscului. Acest lucru poate include implementarea de controale de securitate, 
îmbunătățirea proceselor operaţionale, actualizarea sistemelor și a software-ului, educarea 
angajaţilor în domeniul securității cibernetice etc. Scopul este de a reduce riscul la un nivel 
acceptabil și de a minimiza eventualele daune în cazul în care riscul se materializează. 


e Evitarea riscului - Această strategie implică luarea de măsuri pentru a elimina sau a evita complet 
riscul. Organizațiile pot alege să evite riscul prin renunţarea la anumite activităţi sau practici care 
ar putea expune la riscuri. De exemplu, o companie ar putea evita riscul de a fi afectată de un atac 
cibernetic prin renunțarea la utilizarea anumitor tehnologii sau sisteme considerate prea vulnerabile. 


e Transferul riscului - Această strategie implică transferul parțial sau total al responsabilității și 
impactului riscului către o altă entitate, de obicei printr-o asigurare sau un acord contractual. De 
exemplu, o organizație poate transfera riscul cibernetic prin achiziționarea unei polițe de asigurare 
cibernetică, care acoperă daunele financiare în cazul unui incident de securitate cibernetică. 


Monitorizarea periodică a riscurilor cibernetice este un proces continuu, iar amenințările pot apărea 
sau evolua rapid. Monitorizaţi-vă riscurile pentru a vă asigura că sunt încă acceptabile, revizuiţi 
controalele pentru a vă asigura că sunt încă adecvate scopului pentru care au fost implementate și 
faceți modificările necesare unde este cazul. Riscurile se schimbă continuu pe măsură ce peisajul 
amenințărilor cibernetice evoluează, iar sistemele și activitățile în cadrul organizaţiei se schimbă. 


Această monitorizare ar trebui să includă o analiză a incidentelor de securitate anterioare pentru a 
identifica tendințe care ar putea indica riscuri sau vulnerabilități existente sau emergente în 
infrastructura sau procesele organizaţiei. Această analiză poate oferi informaţii valoroase pentru 
îmbunătăţirea strategiilor de gestionare a riscurilor și pentru prevenirea incidentelor viitoare. 
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„ Cum monitori 


CUM POATE FI RESPECTAT? 


Implementarea unei strategii de tratare a riscurilor 
poate necesita investiţii financiare semnificative 
pentru achiziționarea de tehnolosii, software și alte 
instrumente de securitate cibernetică, precum și 
pentru formarea și instruirea personalului. Aceste 
costuri pot include și achiziționarea de asigurări 
cibernetice pentru transferul riscurilor și pentru 
acoperirea eventualelor daune financiare. 


Monitorizarea ri curilor cibernetice necesită o serie de 
resurse, inclusiv : 
procese bine defi 


„ Cum se decide 


ilitățile în 


este pregătit să 


reacționeze la i 


4.Securitatea cibernetică previne pierderile financiare semnificative 


Neglijarea amenințărilor și riscurilor aferente securităţii cibernetice a organizației poate avea 
consecințe financiare semnificative. În prezent, securitatea activelor și proceselor digitale este la fel 
de importantă precum cea a activelor și proceselor fizice. 


Există o concepție eronată conform căreia numai marile corporații sunt expuse atacurilor cibernetice. 
În realitate, fiecare organizaţie - de la startup-uri până la companii mari, operând în diverse industrii - 
se confruntă cu ameninţări cibernetice care nu ţin cont de domeniul sau de dimensiune afacerii. 


Deși sentimentul general și atenția acordată securităţii cibernetice sunt în creștere, persistă o 
discrepanță notabilă între liderii de organizaţii cu privire la urgenţa și semnificația securităţii 
cibernetice. Acest fapt nu doar că reflectă o neînțelegere a dimensiunii potenţialelor riscuri, dar și o 
subestimare a impactului pe care un atac cibernetic îl poate avea asupra continuității afacerii. 


În ultimul deceniu, domenii de activitate odată considerate imune la riscurile digitale au devenit 
progresiv mai vulnerabile în fața amenințărilor cibernetice. Evoluţia actuală a dinamicii concurenţiale 
pe piață impune adoptarea soluţiilor digitale care, deși generează avantaje semnificative din punct de 
vedere operaţional și financiar, deschid simultan noi dimensiuni pentru atacurile cibernetice. 


Conștientizarea faptului că fiecare întreprindere, indiferent de activitatea sa principală, se află pe 
câmpul de luptă digital devine tot mai necesară. Însă, adesea este necesar un impact direct - un atac 
cibernetic - pentru a trece de la complacere la acțiune. Securitatea cibernetică sporită a companiei nu 
înseamnă întotdeauna creșterea bugetelor, cheltuielilor sau a numărului de angajați, ci mai mult un 
mod cât mai larg de a gândi businessul interconectat cu responsabilităţi, investiţii, efort distribuit și o 
atitudine de cooperare cu angajaţii, clienţii, partenerii și instituțiile guvernamentale. 


După numeroase incidente, ar trebui să fie evident că securitatea cibernetică este un aspect crucial 
pentru companii din toate domeniile, de la cele care oferă servicii directe digitale, precum centrele de 
date, producătorii de hardware: și furnizorii de internet, până la acelea care "vând rotopercutoare"?, 
administrează porturi” sau operează în sectorul farmaceutic. În lipsa unor măsuri proactive, companiile 
se expun riscului de a suferi pierderi atât de semnificative, ce pot duce la faliment. 


Managementul organizației trebuie să înțeleagă faptul că securitatea cibernetică nu este o opţiune, ci 
o necesitate absolută, la fel de critică pentru supraviețuirea și prosperitatea afacerii ca și securitatea 
fizică a activelor sale. Reflectând asupra diversităţii industriilor și rolului central al tehnologiei în 
operaţiunile zilnice, devine esenţial să înțelegem cum specificul fiecărei industrii o face vulnerabilă la 
riscuri cibernetice particulare. 
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CUM POATE FI RESPECTAT? 


Cursuri de formare în securitatea informaţiei, 
disponibile online și offline. 


Consultanţă și audituri de securitate cibernetică 
oferite de firme specializate. 


Ghiduri publicate de instituții naționale și 
internaționale de securitate cibernetică. 


CE AR 


„ Ce date sensibile deține cc ia noastră și unde sunt 


stocate? 


. Care este ape ÎS npaniei din punct 


de vedere finan 


„ Planul de răspuns la incide ide evaluarea 


„ Ce resurse su 


scenariile de : 


ică pentru a 


5.Conducerea are datoria de a promova specializarea angajaţilor 


Este crucial ca managementul organizaţiilor să pună accent pe specializarea angajaților în domeniul 
securității cibernetice, subliniind importanța cunoștințelor și competențelor specifice. Acest lucru poate 
fi realizat prin dezvoltarea de competenţe cyber la nivelul departamentului IT, prin dezvoltarea unei 
echipe dedicate pentru securitate cibernetică sau prin colaborarea cu specialiști externi, pentru a 
asigura o apărare eficientă împotriva amenințărilor și pentru a întări reziliența organizaţiei în fața 
atacurilor cibernetice. Implementarea unei strategii de specializare nu doar că va întări reziliența 
organizației în fața amenințărilor, dar va și contribui la crearea unei culturi de securitate care 
valorizează cunoașterea, competenţa și inovaţia în acest domeniu. 


Ideal, ar trebui sa existe și un departament de securitatea cibernetică independent de IT, pentru a evita 
conflictele de interese și pentru a asigura o concentrare specializată. Profesioniștii IT sunt responsabili 
cu menţinerea și securizarea infrastructurii tehnice, incluzând servere, reţele și alte dispozitive. 
Personalul de securitate cibernetică prioritizează aspectele de securitate, implementând măsuri tehnice 
și răspunzând la amenințări. În contexte cu resurse limitate, combinarea rolurilor creează provocări, 
deoarece responsabilitățile duble pot intra în conflict, departamentul IT prioritizând funcționalitatea. 


Chiar dacă sistemele de securitate cibernetică devin tot mai sofisticate, factorul uman rămâne 
principala slăbiciune în fața atacurilor cibernetice. O eroare din partea unui angajat nespecializat, lipsa 
de conștientizare a riscurilor sau o simplă neglijenţa pot oferi o cale de acces facilă pentru hackeri. 


Un exemplu elocvent este breșa de securitate de la Equifax* din 2017, care a expus datele personale a 
148 de milioane de americani. Atacul a fost posibil din cauza lipsei de pregătire a personalului 
responsabil de securitatea cibernetică. Deși Equifax a externalizat anumite componente cyber, lipsa de 
control și monitorizare a permis atacatorilor să obțină acces neautorizat la sistemele interne. 


Un alt exemplu semnificativ este atacul WannaCry7, care a vizat peste 200.000 de dispozitive din 150 
de țări. Succesul său s-a datorat lipsei de actualizare a sistemelor Windows, separării insuficiente a 
rețelelor interne și a copiilor de siguranţă deficitare din partea multor companii. Impactul unor astfel 
de incidente poate fi drastic diminuat sau chiar eliminat prin specializarea continuă a personalului. 


Managementul organizației joacă un rol major în asigurarea competențelor necesare echipei de 
securitate cibernetică. Este necesar ca aceștia să recunoască importanța investițiilor în formarea 
angajaților, creând un mediu în care învăţarea și actualizarea constantă a cunoștințelor sunt valori 
fundamentale. Aceasta implică nu doar furnizarea de resurse pentru obţinerea de certificări 
profesionale recunoscute la nivel internaţional, ci și promovarea unei culturi organizaționale care 
încurajează împărtășirea cunoștințelor și colaborarea. 
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. Dispuneţi de o 


CUM POATE FI RESPECTAT? 


Dezvoltarea internă de aptitudini cyber 


Stabilirea unui plan de dezvoltare profesională și 
certificare pentru echipa de securitate cibernetică; 


Evaluarea periodică a competenţelor și a nevoilor de 
formare; 


Sprijinirea financiară a angajaţilor pentru a urma 
cursuri specializate și a obține certificate recunoscute 
la nivel internaţional, ex: CompTIA Security+, 
CompTIA Network+ sa ; 


Externalizarea serv ti în domeniu. 


i 


securității 


cibernetice? 


. Angajaţii din e 


experienţă în 
recunoscute? 


„ Există un plan de d 


. Contractele cu 


acoperă toate aspectele legate de securitatea 
informațională? 


6.Managementul organizaţiilor trebuie să asigure conformitatea cu cerinţele 
legale 


Conformitatea cu cerințele legale aplicabile unei organizaţii presupune implementarea cerințelor legale 
în cadrul organizaţiei prin politici, proceduri, decizii de management și procese interne. 


Respectarea legilor reduce materializarea riscurilor, inclusiv prin incidente de securitate în domeniul 
securității cibernetice; legislația se concentrează, pe de o parte, pe măsuri organizatorice, inclusiv 
existența proceselor interne de gestionare a riscului. Aceste tipuri de măsuri asigură o creștere a 
capabilității organizației de a preveni, detecta și răspunde la incidente de securitate. 


Pe de altă parte, legislația se concentrează și pe măsuri tehnice de prevenţie și detecție a incidentelor 
de securitate. Acestea completează partea organizațională și necesită, de asemenea, aprobarea din 
partea managementului pentru implementare luând în considerare analiza de risc și apetitul la risc. 


Ce rol are managementul în respectarea conformităţii? Managementul solicită și monitorizează 
identificarea legislației aplicabile organizaţiei, verificarea conformităţii cu legislația identificată, 
precum și monitorizarea periodică a nivelului de conformitate, fiind responsabil pentru conformitatea 
cu legislația aplicabilă. 


Managementul trebuie să fie activ implicat în luarea deciziilor privind modul de implementare a 
măsurilor interne organizaționale sau tehnice aferente conformităţii, precum și în aprobarea busetului 
necesar pentru acestea. 


Conformitatea nu înseamnă doar proceduri, ci și procese. Pentru a realiza conformitatea cu o cerință 
legală în domeniul securității cibernetice sunt necesare anumite măsuri tehnice (inclusiv soluții de 
securitate), însă sunt necesare anumite procese interne în cadrul organizației, cum ar fi procesul de 
gestionare a riscului. Acestea presupun și stabilirea de roluri și responsabilități în cadrul organizației, 
atât la nivel de management, cât și la nivel de departamente diferite, de la IT până la juridic, HR și 
vânzări. 

Conformitatea include și ecosistemul de furnizori, iar pentru a respecta anumite cerințe legale, 
organizația trebuie să implice furnizorii săi. Acest lucru se realizează, în general, prin obligații specifice 
legate de securitatea cibernetică, care sunt asumate de furnizori, inclusiv prin acorduri contractuale. 
Aceste obligații sunt implementate de furnizori și monitorizate de organizație, folosindu-se metode 
precum raportările periodice și indicatorii de performanţă (KPI) și de risc. 


Verificarea conformităţii este un proces ciclic întrucât pot fi adoptate cerințe legale noi sau modificate 
cerințele legale existente; respectarea continuă a politicilor/procedurilor interne, precum și a 
proceselor interne de obicei necesită și monitorizare pentru buna lor funcționare; în cazul modificărilor 
interne ale organizației (e.g. utilizarea de noi tehnologii, achiziționarea unei alte societăți) pot apărea 
cerinţe legale noi de implementat sau pot necesita ajustarea procedurilor/proceselor interne existente. 
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CUM POATE FI RESPECTAT? 


Solicită raportări privind statusul implementării 
legislației aplicabile, atât cea în vigoare, cât și 
monitorizarea legislației în curs de adoptare. 


Asigură existența de roluri și responsabilități, precum 
și procese interne corespunzătoare pentru 
implementarea și continuitatea respectării legislaţiei 
aplicabile 


securitate și 
protecţie, preven 


„ Ce legi sunt apl 
. Care sunt oblig; 


3. Care sunt acţi 


cerinţele legali 


. Care sunt dep 


implicate în impl 


. Este necesară i 


implementare? 


„ Cât de frecvent să rapor 


cerinţelor legale către man: 


. Care sunt rolurile si responsabilitățile din cadrul 


organizației pentru a asigura conformitatea cu 
legislația? 


. Cum putem monitoriza periodic conformitatea? Prin 


KPI, audit intern, audit extern? 


„ Cine verifică periodic proiectele de legi pentru a 


identifica cerințe legale noi aplicabile organizaţiei? 


10.Cine verifică modificările din cadrul organizaţiei 
pentru a identifica noi cerințe legale de implementat 
datorită acestor modificări? 


REGLEMENTĂRI UE: 


+ Network and Information Security Directive (NIS 2) 

+ The Critical Entities Resilience (CER) 

+ Digital Operational Resilience Act (DORA) 

« Cyber Security Act (CSA), Cyber Resilience Act (CRA) 
+ Cyber Solidarity Act, Al Resilience Act (ARA) 

+ Digital Services Act (DSA) 

+ Digital Markets Act (DMA) 

+  eIDAS Regulation 


7.Continuitatea activităţii, managementul crizelor si reziliența cibernetică 


Pentru organizații, la nivel global, cel mai important risc de business pentru anul 2024 este riscul 
incidentelor cibernetice, iar locul al doilea este ocupat de riscul de întrerupere a activității; aceste 
două riscuri sunt pe primele două sau trei poziţii în ultimii 9 (nouă) ani”,'0. În acest context, se 
recomandă ca managementul organizaţiilor să aibă în vedere implementarea de măsuri, procese și 
sisteme care să asigure un grad înalt de reziliență organizațională și reziliență cibernetică. 


Continuitatea activităţii se referă la capacitatea organizaţiei de a continua să livreze produse sau 
servicii la nivele acceptabile și predefinite, în urma apariției unor incidente cu efect perturbator. 
Managementul Continuităţii Afacerii (BCM - Business Continuity Management) este un sistem de 
management prin care se planifică și se organizează continuarea activității pentru situația apariției unor 
incidente perturbatoare, inclusiv incidente cibernetice, și declanșarea unor scenarii care pot genera 
oprirea activităţii. Prin implementarea unui sistem de BCM, managementul organizației asigura procese 
și resurse necesare bunei gestionari a scenariilor de risc și a eventualelor crizelor generate de acestea, 
dar și restaurarea proceselor și reluarea activităţii într-un timp cât mai scurt, la costuri optime, precum 
si reducerea impactului, antrenarea managementului, a echipelor care gestionează crizele și a 
personalului implicat, la toate nivelurile. 


Proiectul de implementare a Sistemului BCM, agreat și susținut de echipa de management, parcurge în 
general patru etape principale, conform framework-ului prezentat vizual în imaginea alăturată11. 
Planificarea restaurării proceselor se realizează prin intermediul unor planuri de continuitate a 
activităților, care este recomandat să fie revizuite și actualizate periodic, pentru asigurarea coerenţei 
la nivelul organizației. 
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CUM PC 


Sistem de Mana 
bazat pe manag 


Digitalizarea proce 
Management al C j ăţii, Management 
al crizelor 


Resurse utile risci 


Software dedic mul de management al 
continuității ac ma t al crizelor 


CE AR TREBUI SĂ ȘTIM? 


. Care este lista proceselor de business? Sunt acestea 


prioritizate prin analiza de impact? 


. Care sunt metodele de analiză a riscurilor și cum se 


pot identifica scenariile de risc cu potenţial 
perturbator asupra continuității activității 
organizaţiei? 


3. Există planuri de continuitate a activității organizației? 
. Există back-up pentru datele și aplicaţiile critice? 


5. Există, în cadrul organizaţiei, exerciții pentru 


simularea și testarea planurilor de continuitate, "table 
top exercises”? 


Managementul crizei se definește, se organizează și se implementează cu acordul managementului, 
pentru fiecare tip de scenariu de risc relevant. Pentru riscurile cibernetice, structura echipei de 
management al crizei cibernetice la nivelul organizației este recomandat să cuprindă roluri atât la nivel 
de top management, cât și la nivel strategic și tactic, incluzând lideri și experţi în IT și securitate 
cibernetică, dar și experţi și personal operativ din cadrul funcțiunilor operaționale și de suport. 
Totodată, este recomandat să se creeze parteneriate cu experţi în securitate cibernetică, respectiv 
companii externe, care să poată fi activate în cazul unor situații care impun expertiză de înaltă 
specializare în securitate cibernetică. 


Sistemul BCM, odată implementat, devine un proces continuu al organizației și necesită angajamentul 
managementului, responsabilități atribuite în mod clar unor roluri din cadrul organizației sau crearea 
unor roluri și/ sau departamente dedicate, revizuire și actualizare regulată, alături de îmbunătățirea 
proceselor sale. 


Reziliența cibernetică și reziliența organizațională sunt nu doar în responsabilitatea managementului, 
ci se bazează pe conștientizare, implicare si adaptabilitate la nivelul întregii organizaţii, iar o 
comunicare ș cooperare eficace și eficientă atât în plan orizontal cât și in plan vertical asigură bazele 
obținerii unor rezultate sustenabile. Analizele12 arată ca doar 27% din liderii de business au considerat 
că în 2023 organizaţia pe care o conduc este rezilientă din punct de vedere cibernetic, în timp ce 29% 
din liderii cyber au considerat acest lucru, iar percepţia asupra gradului de reziliență cibernetică este 
mai mare în rândul liderilor de business acolo unde aceștia au o comunicare regulată cu liderii din zona 
cyber. 


Pentru creșterea rezilienței cibernetice și a celei organizaționale, se recomandă managementului 
organizațiilor să aplice strategii din sfera managementului continuității activităţii, cu tactici de 
implementare a unui Sistem de BCM. Studiile13 arată că 69% din organizații au înregistrat perturbări și / 
sau întreruperi ale activității în ultimii doi ani, iar 91% dintre organizații au înregistrat cel puțin un 
astfel de eveniment perturbator, altul decât episodul pandemic generat de SARS-COV-2. 


În contextul în care accesul la date este foarte important atât pentru echipele operaționale, echipele 
de specialiști, cât și pentru management în procesul decizional, cumulat cu modul de lucru hibrid sau 
în sistem de lucru la distanță extins la nivelul organizaţiilor (în urma crizei generate de pandemia COVID- 
19), precum și cu agilitatea și adaptabilitatea necesare în situaţia riscurilor cibernetice, sistemul de 
BCM, alături de managementul riscurilor și gestionarea crizelor, pot fi implementate utilizând soluţii 
software dedicate. 
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Impactul și consecinţele ignorării principiilor 


Neglijarea principiilor de securitate cibernetică poate avea o serie de consecințe grave pentru o 
organizație, inclusiv: 


1. 


10. 


11. 


Pierderi materiale și de reputație - acestea pot afecta grav credibilitatea organizației în fața 
clienţilor și în sectorul său de activitate, ducând la scăderea încrederii și potenţiale pierderi de 
afaceri. 

Impact negativ asupra operaţiunilor de business - nerespectarea normelor de securitate poate 
perturba fluxurile operaționale, provocând întârzieri sau oprirea completă a activităților. 


Consecințe financiare - riscurile securității cibernetice materializate pot genera costuri 
semnificative, de la daune directe cauzate de atacuri cibernetice, la pierderi de venituri și 
cheltuieli pentru recuperarea datelor. 

Creșterea vulnerabilităţilor - neglijarea poate conduce la creșterea expunerii la noi atacuri 
cibernetice sau la alte evenimente neprevăzute care pot compromite securitatea organizației. 
Întreruperea fluxului de activitate - atacurile cibernetice pot bloca sau perturba semnificativ 
operaţiunile curente ale organizaţiei. 

Cheltuieli suplimentare pentru remedierea daunelor - acestea includ costuri pentru recuperarea 
după atacuri și pentru repararea prejudiciilor cauzate. 

Pierderea partenerilor și angajaţilor - reputaţia afectată poate duce la pierderea încrederii din 
partea partenerilor de afaceri și a angajaţilor, afectând stabilitatea organizației. 

Furtul de date - compromiterea datelor sensibile, inclusiv informaţii proprietare și personale, poate 
avea efecte devastatoare asupra securității și integrității organizației. 

Pierderea încrederii din partea clienţilor - o breșă de securitate importantă poate eroda 
încrederea clienţilor și poate avea un impact negativ pe termen lung asupra reputației organizaţiei. 
Sancţiuni legale - nerespectarea legislaţiei în vigoare poate atrage amenzi substanţiale sau alte 
tipuri de sancțiuni, inclusiv posibilitatea restricționării activităţilor. 

Costuri legate de conformitate - după un incident, organizația poate fi nevoită să suporte costuri 
suplimentare pentru investigaţii, audituri și pentru a se conforma cerințelor legale, inclusiv 
cheltuieli juridice. De asemenea, se riscă amenzi costisitoare în urma legislațiilor europene (e.g. 
GDPR). 
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Concluzie 


Securitatea cibernetică este crucială pentru sustenabilitatea și creșterea oricărei organizații în era 
digitală. Această responsabilitate nu revine doar departamentului IT, ci se extinde la întreaga structură 
managerială și la toate departamentele organizaţiei. Prin urmare, este vital ca managementul să 
integreze securitatea cibernetică în strategia globală a companiei, să depășească graniţele tehnice și 
să trateze aceste riscuri ca pe o prioritate strategică. 


Este important ca fiecare membru al echipei de management să înțeleagă și să contribuie la 
implementarea practicilor de securitate cibernetică, subliniind necesitatea unei abordări 
multidisciplinare care să implice toate departamentele. Dezvoltarea unei culturi organizaționale care 
promovează și valorizează securitatea informaţională este cheia pentru protejarea datelor și activelor 
companiei. În plus, conformitatea cu reglementările naţionale și europene stricte, cum ar fi NIS 2, CER, 
DORA și alte acte normative, este vitală pentru asigurarea unui cadru de securitate robust și pentru 
minimizarea perturbărilor economice și sociale. 


Prin urmare, acest ghid este destinat să servească ca un instrument pentru management, oferindu-le 
liderilor informaţiile necesare pentru a înțelege și a gestiona eficient riscurile cibernetice. Așadar, este 
esenţial ca managementul să aibă în vedere recomandările prezentate, să se angajeze în formarea 
continuă și să implementeze o strategie de securitate cibernetică integrată, care să protejeze 
organizația în fața amenințărilor în continuă evoluție. 


În domeniul securității cibernetice, capacitatea decizională și de asumare a răspunderii de către 
conducerea unei organizații este decisivă și necesită dezvoltarea unor abilități manageriale cum ar fi 
comunicarea eficientă, capacitatea de conducere și organizare, capacitatea de control și capacitatea 
de coordonare. 
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ACEST MATERIAL A FOST REALIZAT DE: 
Experţi DNSC: 
e Fraga Țariuc 


Aurel Huștea 


Laurenţiu Zăbavă 


Antonio Radu 
Daniel Abotezătoaei 
Experţi externi: 
e Larisa Găbudeanu 
Irina Coiciu 
Diana Niţescu 
Costel Ciuchi 
Cristi Caramitru 


RECOMANDARE 


Securitatea cibernetică reprezintă un pilon esenţial în arhitectura oricărei entități moderne și trebuie 
să fie integrată în strategia de dezvoltare a fiecărei organizaţii. Transformarea digitală deschide porțile 
către eficienţă și inovaţie, dar, în același timp, expune la riscuri cibernetice diverse, care necesită o 
gestionare atentă și proactivă. 


În această nouă eră digitală, securitatea cibernetică trebuie să fie mai mult decât o serie de protocoale 
tehnice. Aceasta trebuie să fie o parte integrantă a viziunii strategice a fiecărei organizaţii, iar acest 
ghid este conceput să ofere instrumentele necesare pentru a naviga acest peisaj complex și pentru a 
transforma securitatea cibernetică într-un avantaj competitiv. 


Cele șapte principii de securitate cibernetică descrise în acest material detaliază responsabilitățile 
specifice fiecărui nivel din organizație și oferă resurse valoroase, metodologii de referință și unelte 
practice pentru implementare. De asemenea, sunt incluse întrebări fundamentale care vor ajuta la 
evaluarea stadiului actual de securitate cibernetică din cadrul organizației, precum și la formularea 
unei strategii eficace de prevenire și răspuns la incidente. 


În calitate de consultant cu o experienţă de peste 25 de ani în domeniul securităţii cibernetice, al 
definirii de strategii și politici, al managementului riscurilor, în audit și conformitate, cât și în calitate 
de Director al Directoratului Naţional de Securitate Cibernetică (DNSC), consider că protecția spațiului 
cibernetic este una dintre responsabilitățile noastre fundamentale. Adoptarea măsurilor recomandate 
în acest ghid va fortifica organizaţia pe care o conduceţi împotriva amenințărilor cibernetice și va 
sprijini consolidarea influenței dumneavoastră într-un mediu global interconectat. Recomand utilizarea 
acestui ghid pentru construirea unei strategii de securitate cibernetică robuste care va asigura că 
organizația dumneavoastră este bine pregătită să răspundă provocărilor de securitate cibernetică ale 
viitorului. 


Dan Cîmpean 


Această publicaţie este licențiată sub CC-BY 4.0: "Cu excepția cazului în care se specifică altfel, reutilizarea 
acestui document este autorizată sub licența Creative Commons Attribution 4.0 International (CC BY 4.0) 
(https://creativecommons.org/licenses/by/4.0/). Aceasta înseamnă că reutilizarea este permisă, cu condiţia 
menționării corespunzătoare și a indicării oricăror modificări”. 


Li: Hai 3;i se poate folosi atunci când informaţiile prezintă un risc minim de utilizare abuzivă, în conformitate cu normele 
și procedurile aplicabile pentru publicare. Sub rezerva regulilor standard ale drepturilor de autor, informaţiile TLP:CLEAR pot 
fi partajate fără restricţii. 


Informațiile și opiniile conţinute în acest document sunt furnizate "ca atare” și fără garanţii. Referirea din prezentul document 
la orice produse, procese sau servicii comerciale specifice prin denumire comercială, marcă comercială, producător sau în alt 
mod nu constituie sau implică aprobarea, recomandarea sau favorizarea acestora de către Directoratul Naţional de Securitate 
Cibernetică (DNSC), iar aceste îndrumări nu vor fi utilizate în scopuri publicitare sau de aprobare a produselor. 
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